Yago Fernandez Hansen
Valoración de los usuarios: / 3
PobreEl mejor 
Addthis

MBR Ransomware

Recientemente está reapareciendo una antigua modalidad de malware conocida como Ransomware.  Este término se utilizó ya en los años ochenta como una modalidad legal de distribución de software, que consistía en la venta de un programa hasta que se alcanzara una cantidad económica, a través de la cual se liberaba el código fuente. De esta forma el programador cubría sus espectativas de venta. Posteriormente se volvió a utilizar este término para definir un tipo de malware que cifraba los datos importantes de la víctima para pedirle una cantidad económica por su recuperación. La palábra inglesa "ransom" se traduce como rescate, que como puede imaginar, es lo que piden los creadores del ransomware por liberar sus datos personales. Ya en 1989 se distribuyó un primer tipo de ransomware que se distribuyó a la industria farmacéutica en forma de disquete con información sobre el SIDA y que bajo ciertas condiciones cifraba el disco de sus víctimas.

En los últimos años se distribuyeron varios tipos de Ransomware entre los que figuraban algunos conocidos como GPcoder o Cryzip, que utilizaban algoritmos de cifrado y claves relativamente débiles que se podían revertir. Posteriormente se mejoraron las técnicas de cifrado, incorporando el cifrado asimétrico, aunque estas técnicas no han llegado oficialmente a la calle, sino que se han realizado únicamente en POC (pruebas de concepto) en laboratorios.

ransomware1En las últimas semanas he visto como ha reaparecido este tipo de malware en manos de hackers rusos en forma de bootcode insertado en la MBR del disco duro. En esta distribución de ransomware realizada desde la página safe-data.ru solicitan a sus víctimas la cantidad de 100$ pagables desde webs de pagos dificilmente rastreables. En el ejemplo distribuido por ellos, conocido para las empresas de antivirus como MBR ransomware (trojan.MBRlock), se utiliza mediante vulnerabilidades en la máquina víctima técnicas que permiten el acceso físico al disco duro por debajo de las API de Windows para inyectar un nuevo MBR modificado al disco que mostrará un mensaje indicando que la información ha sido cifrada, y ofreciendo además un código y una página Web en la que deberá pagar una cantidad para obtener de nuevo el control de su equipo eliminando el código malicioso del MBR. La realidad es que este malware no ha cifrado el contenido del disco duro, sino que ha sustituido simplemente el MBR correcto por otro infectado, ocultando además el MBR original para poder recuperarlo en caso de pago.

ee3ee188037En algunas versiones de este MBR ransomware, se podrá sustituir el MBR malicioso por un MBR estándar, o por una copia recuperada del MBR original y ya se tendrá acceso a todo el sistema de archivos. Sin embargo en las versiones más actuales, se utiliza también una técnica que consiste en modificar la tabla de archivos, desplazándola unas posiciones de su ubicación original. Para el cálculo de la contraseña utiliza un algorítmo propio basado en la creación de un hash de 16 bits de la contraseña pagada que se comparará con una firma generada en el MBR malicioso.

La única forma de poder recuperar la información del disco duro es pagando, o mediante un programa de reconstrucción de datos que procurará crear una nueva tabla de particiones y archivos leyendo las estructuras de datos guardados en el disco duro. En el ejemplo que incluimos se utiliza el código comillas773921comillas y su password de desbloqueo es comillasaaaaaaciipcomillas. En estas últimas semanas he visto un par de ejemplos como éste de lo importante que es tener una copia de los datos desconectada de nuestro equipo...

Referencias:

Wikipedia: http://es.wikipedia.org/wiki/Ransomware
Securelist: http://www.securelist.com/en/blog/208188032/And_Now_an_MBR_Ransomware
Securelist: http://www.securelist.com/en/blog/333/GpCode_like_Ransomware_Is_Back

EDIT: Se rumorea que el password para recuperar el MBR original es ‘aaaaaaciip’ o 'aaaaadabia', anque también se puede recuperar mediante el Hirens boot CD, el Acronis Disk Director o el Kaspersky Rescue Disk. En el siguiente vídeo se puede ver el proceso:

http://www.youtube.com/watch?v=e7RgU7NNAbw

Comentarios (0)
¡Sólo los usuarios registrados pueden escribir comentarios!

Acerca del autor Yago Fernandez Hansen


Yago Fernández Hansen cuenta con master en ingeniería de software, además de contar con mas de 8 años de experiencia en tecnologías inalámbricas. Es especialista en la implementación y auditoria de redes Wi-Fi. Cuenta con amplia experiencias en motores de datos, sistemas Microsoft, Linux y Networking. Es formador y consultor en seguridad informática y métodos de penetración en redes Wi-Fi para empresas e instituciones. Finalista en el concurso IBM Leonardo DaVinci 1995, cuenta con publicaciones y artículos de informática, además de ser colaborador directo y revisor de publicaciones técnicas de la editorial Rama. Ha impartido diferentes talleres y seminarios de hacking ético y seguridad en Wi-Fi para empresas, organizaciones públicas y universidades.


Más información en: Linkedin

Conocer mas sobre Yago Fernandez Hansen